Skip links

Datenschutz bei Bewerbungen – Was Recruiting-Agenturen beachten müssen

Unternehmen stecken in Zeiten von Fachkräftemangel und dem Kampf um die besten Talente vermehrt Energie in die Auswahl von passenden Bewerben, um ihre offenen Stellen bestmöglich zu besetzen. Die Personalsuche und Bewerbungsverfahren rauben viel Zeit und Ressourcen der HR-Abteilungen, sodass sie in vielen Fällen auf die Expertise externer Recruiting-Agenturen zurückgreifen. Da Recruiting-Agenturen innerhalb der Personalsuche personenbezogene Daten der Bewerber verarbeiten, müssen diese besonders die datenschutzrechtlichen Vorschriften beachten und einhalten. Wie Sie als Recruiting-Agentur eine rechts-sichere Personalvermittlung gestalten und wie Sie rechtskonform mit den Kunden- und Bewerberdaten umgehen, erfahren Sie in dieser Übersicht.

Was ist Recruiting?

Unter Recruiting versteht man die Suche und Vermittlung von fachlich qualifizierten Arbeitskräften. Um Unternehmen bei ihren Findungsprozessen zu unterstützen, haben sich Recruiting-Agenturen darauf spezialisiert, passendes Personal zu finden und die Unternehmen im Rahmen des Employer Branding zu beraten, um den Unternehmensauftritt attraktiver auf dem Arbeitsmarkt zu gestalten.

Sie möchten sich direkt zum Thema AGB erstellen beraten lassen?

Hier gehts zum Recruiting-Paket

Wie funktioniert rechtssicheres Recruiting?

Damit Sie als Recruiting-Agentur jederzeit rechtssicher und rechtskonform handeln, müssen Sie auf einige Besonderheiten achten. Als Recruiting-Agentur haben Sie vermehrt mit Unternehmen, Arbeitsuchenden und Bewerbern zu tun. Diese übermitteln Ihnen persönliche und zum Teil auch personenbezogene Daten, wie z. B.:

  • Name und Vorname
  • Privatanschrift
  • E-Mail-Adresse
  • Ausweisnummer
  • Sozialversicherungsnummer usw.

Indem Sie solche personenbezogenen Daten erhalten, speichern und übermitteln, sind Sie als Auftragsverarbeiter im Rahmen des Artikel 28 der Datenschutzgrundverordnung (DSGVO) tätig. Danach müssen Sie dafür sorgen, dass Sie solche sensiblen Daten schützen, sodass unbeteiligte Dritte keine Kenntnis von diesen erlangen. Die DSGVO gibt Ihnen dafür den rechtlichen Rahmen vor.

Zusammenfassend müssen Sie bei der Verarbeitung von personenbezogenen Daten u. a. folgendes beachten:

  • Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen Ihnen und Ihren Kunden (Unternehmen sowie Bewerber)
  • Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO
  • Dokumentation der Datensicherheitsmaßnahmen (TOMs)

Aber nicht nur während der Verarbeitung von personenbezogenen Daten müssen Sie rechtliche Fallstricke beachten. Auch bei der Gestaltung und dem Abschluss von Dienstleistungsverträgen zwischen Ihnen und Ihren Kunden müssen Sie darauf achten, dass Ihre Verträge beispielsweise Subunternehmerregelungen oder Vergütungsklauseln enthalten, damit Sie nicht haften und Ihren Vergütungsanspruch erhalten.

Je nach Unternehmen gibt es hierbei spezielle Besonderheiten, die Sie individuell bedenken und entsprechend regeln müssen. Dabei helfen wir Ihnen gerne. Unsere Kanzlei ist darauf spezialisiert, DSGVO-konforme Rechtstexte zu erstellen, die individuell auf Ihre Geschäftsmodelle und Prozesse abgestimmt sind. Melden Sie sich dazu einfach bei uns.

Müssen Sie als Recruiting-Agentur einen AV-Vertrag abschließen?

Ein AV-Vertrag sichert Sie hinsichtlich einer möglichen Haftung, während Sie personenbezogen Daten verarbeiten, ab. Oft wird ein solcher AV-Vertrag aber nicht geschlossen oder einfach vergessen. Wir raten Ihnen dringend dazu, auf einen solchen zu achten und die rechtlichen Rahmenbedingung der Auftragsverarbeitung zu regeln. Denn, wie die DSGVO schon vorgibt, müssen Sie die rechtlichen Vorschriften für die Datenweitergabe einhalten, da sonst hohe Geldbußen drohen.

Dabei ist darauf zu achten, dass Sie einen AV-Vertrag nicht nur mit Ihren Kunden abschließen. Nach der DSGVO ist ein AV-Vertrag nämlich sowohl zwischen Ihren Kunden und Ihnen als auch zwischen Ihren Bewerbern und Ihnen abzuschließen. Sie müssen also einen AV-Vertrag für beide Vertragsseiten abschließen. Bisher war in der Praxis die Vorgehensweise so, dass Sie einen AV-Vertrag vorbereiten, diesen Ihren Vertragspartnern zusenden und letztendlich unterschreiben lassen. Diese Vorgehensweise ist äußerst zeitraubend und ineffektiv. Wir haben dafür die passende Lösung.

Sichern Sie sich jetzt ab!

Wie können Sie Ihren AV-Vertrag rechtssicher in Ihre Vermittlungspraxis einbinden?

Um nicht mit jeder Vertragspartei einen eigenen AV-Vertrag abschließen zu müssen, haben Sie die Möglichkeit, Ihren AV-Vertrag als Allgemeine Geschäftsbedingungen (AGB) auszugestalten. Das bedeutet für Sie, dass Sie ganz einfach bei jedem Vertragsschluss mit Ihren Vertragspartnern diese auf die Gültigkeit Ihres AV-Vertrages hinweisen und der AV-Vertrag damit automatisch Teil des Vertrages wird. So sparen Sie sich das hin und her senden des AV-Vertrages und die individuelle Unterzeichnung pro Vertragspartner. Dies spart Zeit und Geld.

Darüber hinaus sind Sie als Auftragsverarbeiter verpflichtet, ein Verarbeitungsverzeichnis gemäß Artikel 30 Absatz 2 DSGVO zu führen. Darin sind alle Verarbeitungsvorgänge, in der Sie personenbezogene Daten verarbeiten, zu dokumentieren. In einem solchen Verarbeitungsverzeichnis muss u.a. folgendes enthalten sein:

  • Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32Absatz 1 DSGVO.

Da sich die Unternehmensprozesse von Recruiting-Agentur zu Recruiting-Agentur unterscheiden, ist es wichtig darauf zu achten, dass die Einbindung auf Ihre Unternehmensprozesse abgestimmt ist. Wir unterstützen Sie gerne bei der korrekten Einbindung Ihrer AV-Verträge als AGB.

Sind besondere Maßnahmen zu beachten?

Da Ihnen die DSGVO vorschreibt, wie Sie die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten sollen, müssen Sie bestimmte Instrumente und Maßnahmen einsetzen. Dabei helfen technische und organisatorische Maßnahmen (kurz: TOM) die verarbeiteten und gespeicherten personenbezogen Daten umfassend hinsichtlich bestehender Risiken zu schützen. Gemäß Artikel 32 Absatz 1 DSGVO sind unter TOM folgende Vorkehrungen zu verstehen:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen
  • Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung schaffen

Um diese Vorgaben DSGVO-konform in Ihre Auftragsverarbeitungsprozesse zu implementieren, bedarf es einer ausführlichen Risikoanalyse. Mit unserer Hilfe können Sie TOM einfach in Ihre Geschäftsabläufe einbinden, ohne Sorge hinsichtlich der Rechtssicherheit zu haben. Unsere Datenschutzexperten beraten Sie deshalb gerne.

Beratung für Recruiting-Agenturen und Unternehmen

Informieren Sie sich über ein minimiertes Haftungsrisiko und überzeugen Sie sich selbst .

Jetzt Paket ansehen